“چکپوینت” در گزارش خود گفته است که این دو عملیات برای جاسوسی علیه مخالفان جمهوری اسلامی در داخل ایران و ۱۲ کشور دیگر از جمله بریتانیا و آمریکا انجام شده است.
بر اساس این گزارش دو گروهی که در این دو پروژه فعالیت میکنند، از تکنیکهای جدید برای نصب جاسوسافزارها یا بدافزارهای جاسوسی در کامپیوترهای شخصی و گوشیهای موبایل افراد استفاده کردهاند.
این گزارش میگوید در جریان این عملیات جاسوسی مجازی، عکسها، فیلمها و پیامهای صوتی افراد مورد حمله به سرقت رفته است.
یکی از دو گروه هکر فعال در این حملهها که با نام بچهگربه خانگی (Domestic Kitten) یا APT-۵۰ شناخته میشود، متهم شده است که افراد را با شیوههای مختلف برای دانلود کردن بدافزار روی موبایل فریب میدهد، از جمله:
- عرضه بسته قلابی از نسخه واقعی یک بازی ویدیویی در فروشگاه اینترنتی گوگل
- کپی کردن اپلیکیشن یک رستوران در تهران
- پیشنهاد دانلود اپلیکیشن قلابی برای امنیت موبایل
- پیشنهاد اپ دستکاریشدهای که مقالات خبرگزاریها را منتشر میکند
- اپلیکیشن آلوده والپیپر
- ایجاد یک فروشگاه مجازی اپ اندروید برای دانلود نرمافزار
شرکت چکپوینت میگوید در پژوهش خود ۱۲۰۰ مورد از قربانیان این حملات مجازی را که ساکن هفت کشور مختلف هستند فهرست کرده است.
به گفته این شرکت بیش از ۶۰۰ مورد حمله آلودهکننده موفق را در این پروژهها شناسایی شده است.
به گزارش چکپوینت گروه دوم با نام اینفی (Infy) یا شاهزاده پارسی (Prince Of Persia) از کامپیوترهای شخصی یا کاری مخالفان در ۱۲ کشور جاسوسی کرده و اطلاعات حساس را بعد از فریب دادن آنها از طریق باز کردن فایلهای آلوده در ایمیل سرقت کرده است.
دولت ایران به گزارش تازه چکپوینت واکنشی نشان نداده است.
بدافزار”گلوله پشمی”
عملیات گروه “بچهگربه خانگی” اولین بار در سال ۲۰۱۸ شناسایی شد و چکپوینت در آن زمان گفت که شواهدی در ارتباط با دست کم ۱۰ پروژه جاسوسی سایبری از سال ۲۰۱۷ وجود دارد.
چهار پروژه این گروه همچنان فعال است و به گفته این شرکت تازهترین حملات در نوامبر ۲۰۲۰ شناسایی شده است.
در این پروژه با استفاده از یک وبلاگ فارسی، کانالهای تلگرام و پیامک استفاده شده تا افراد را برای نصب نرمافزارهای آلوده فریب دهند. در گزارش چکپوینت از این بدافزارها با عنوان “گلوله پشمی” یاد شده که میتوانند:
- صدای مکالمات و دیگر صداها را ضبط کنند
- موقعیت موبایل را شناسایی کنند
- اطلاعات شناسایی افراد روی موبایل را جمعآوری کنند
- به پیامکها و فهرست تماسها دسترسی پیدا کنند
- فایلها عکس و فیلم را بدزدند
- به فهرست اپهای نصبشده دسترسی پیدا کنند
- از حافظه اسدی اطلاعات سرقت کنند
۶۰۰ تلاش موفق این گروه علیه افراد و گروههای مخالف و اقلیت کرد در این کشورها شناسایی شده است:
- ایران
- آمریکا
- بریتانیا
- افغانستان
- ترکیه
- ازبکستان
گفته شده است که گروه دیگر (اینفی) از سال ۲۰۰۷ فعال بوده است.
به گزارش چکپوینت تازهترین اقدام این گروه هدف قرار دادن کامپیوترهای شخصی با ایمیلهای جعلی با محتوای “جذاب” برای فرد هدف حمله بوده که با پیوست یک فایل نوشتاری فرستاده شده است.
یکی از نمونههایی که در گزارش به آن اشاره شده سندی مربوط به وامی است که به “جانبازان جنگ” پیشنهاد شده است.
با باز شدن این فایل، یک جاسوسافزار روی دستگاه نصب میشود و اطلاعات حساس را میدزدد.
دو فایل دیگر هم که به تازگی استفاده شده عکسی از یک فرماندار در ایران بوده که ادعا شده حاوی اطلاعات تماس آن مقام است.
پژوهشگران چکپوینت میگویند توانایی گروه اینفی “بسیار بالاتر” از گروههای شناختهشده دیگر ایرانی است به این دلیل که این گروه اهداف خود را بسیار با دقت انتخاب میکنند و حملاتش در بسیاری از موارد قابل شناسایی نیست.
یانیو بالماس، رئیس تحقیقات چکپوینت، میگوید: “روشن است که حکومت ایران منابع قابل توجهی را به عملیات سایبری اختصاص میدهد.”
به گفته آقای بالماس با وجود آن که عاملان این پروژههای جاسوسی سایبری در مقطعی شناسایی و حتی متوقف شدهاند، اما خود آنها هدف قرار نگرفتهاند و “به وضوح کارشان را از سر گرفتهاند.”
